2022年 - VECサロン

EU Cyber resilience Act.関連について

IECのWebサイト（URL ：https://www.iec.ch/cyber-security）で公開しているページには、「Cyber security」について

Putting in place a holistic approach to building cyber resilience by implementing an overarching strategy that includes people, processes, technology, and IT and OT security standards

「人、プロセス、テクノロジー、ITおよびOTセキュリティ標準を含む包括的な戦略を実装することにより、サイバーレジリエンスを構築するための包括的なアプローチを導入する」と定義している。

この「包括的な戦略を実装する」設備は、以下がある。

Nuclear power plants (NPPs)：原子力発電所

IEC SC 45A
IEC 62645
protection of microprocessor-based information and control systems in nuclear power plants
原子力発電所におけるマイクロプロセッサベースの情報および制御システムの保護

IEC 62859
framework for managing the interactions between safety and cyber security.
安全性とサイバーセキュリティの相互作用を管理するためのフレームワーク。

Electric power utilities：電力会社

IEC TC 57
IEC 61850
series of publications for communication networks and systems for power utility automation
電力会社自動化のための通信ネットワークとシステムに関する一連の出版物

IEC 60870
series for telecontrol equipment and systems
遠隔制御機器およびシステム用シリーズ

IEC 62351
series on power systems management and associated information exchange
電力システム管理と関連する情報交換に関するシリーズ

Healthcare：医療

IEC SC 62A
ISO/IEC 80001
(via Joint Working Group with ISO)
risk management for IT-networks incorporating medical devices
医療機器を組み込んだITネットワークのリスクマネジメント

Shipping：船舶輸送

IEC TC 80
IEC 63154
maritime navigation and radiocommunication equipment and systems
海上航法および無線通信機器およびシステム

Industry：産業

IEC TC 65
IEC 62443
series of publications that specify security requirements for industrial automation and control systems (IACS)
産業用オートメーションおよび制御システム(IACS)のセキュリティ要件を規定した一連のシリーズ

Conformity assessment

規格は書面による指示を提供します。テストと認証(適合性評価)は、これらの指示が実際の技術システムに適切に適用されていることを確認します。

IECは、最大54の加盟国と4つの適合性評価(CA)システムを運営しています。サイバーセキュリティの分野では、IECEEは現在、IEC 62443シリーズの規格に基づくサービスを提供する上で主導的な役割を果たしています。IECEE産業用サイバーセキュリティプログラムは、産業オートメーションセクターにおけるサイバーセキュリティをテストおよび認定するために作成されました。

IECEEの「運用文書」OD-2061は、適合性評価をIEC 62443シリーズに適用する方法を説明しています。

IECQは、情報セキュリティマネジメントシステム(ISMS)を実装、維持、および継続的に改善するための要件を規定するISO/IEC 27001の世界的な認証システムを提供しています。これには、組織のニーズに合わせた情報セキュリティリスクの評価と処理に関する要件が含まれています

Cyber security and resilience

このIECテクノロジーレポートは、スマートエネルギー運用環境のエグゼクティブを支援するためのガイドラインを提供します

Cyber security

サイバーセキュリティのためのIEC規格と適合性評価の概要
などのドキュメントを提示している。

この「包括的な戦略を実装する」方法を装置ベンダ、機械ベンダ、ロボットベンダ、制御ベンダは自社製品で実現していかなければならない時代にすでに突入しています。

EU Cyber resilience Act.の原文の一部を抜粋して和訳しておきます。

特に、

1_Proposal_for_a_Regulation_on_cybersecurity_requirements_for_products_with_digital_elements__Cyber_resilience_Act_UuN0RBE3ZXD57gU9ayF71Bcc_89543
のP11にある
Delegated powers and committee procedures (Chapter VI)
・・・・・
The Commission is also empowered to adopt implementing acts to: specify the format or elements of the reporting obligations and of the software bill of materials; specify the European cybersecurity certification schemes that can be used to demonstrate conformity with the essential requirements or parts thereof as set out in this Regulation; adopt common specifications; lay down technical specifications for the affixing of CE marking; adopt corrective or restrictive measures at Union level in exceptional circumstances which justify an immediate intervention to preserve the good functioning of the internal market.
委員会はまた、次の実施法を採用する権限を与えられています:報告義務とソフトウェア部品表の形式または要素を指定します。この規則に規定されている必須要件またはその一部への適合性を実証するために使用できるヨーロッパのサイバーセキュリティ認証スキームを指定します。また、共通の仕様を採用する。CEマーキングの貼付に関する技術仕様を定める。域内市場の良好な機能を維持するための即時介入を正当化する例外的な状況において、EUレベルで是正措置または制限措置を採用する。

は、制御ベンダー、機械ベンダー、ロボットベンダにとって、重要なことですので、共有させていただきます。

と、第10条と第11条は、EU市場における工場のオーナーの義務について記述しております。これにより、EU市場のお客様がセキュリティ第三者認証取得を条件に加えたCEマーキング製品を設備として整えなければならない義務を負うことになります。

言い換えますと、2025年後半からEUの各国で工場の認定機関が適合性評価機関を通じて工場の審査を開始しますが、EU企業の工場では、PLC、DCS、CNC、SCADA、ロボットコントローラ製品などをはじめ、Annex Ⅲに記載のClass Ⅱの対象製品は、上記のようにセキュリティ第三者認証を取得していないとCEマーキングを継続的につけることができなくなります。
この法規制が始まるとEUのお客様はどのような行動になっていくかを予測して、今、何をしなければならないかを考えるのが生きたマーケティングであり、事業戦略です。
つまり、IEC62443-4-2製品認証を取得していないとEU市場では買ってもらえなくなるということです。この法律はEU各国で2023年後半までに立法化されますので、そのことを知らされたEU市場の工場オーナーは、設備を新しい基準のCEマーキング製品に変えていく設備投資を開始することを意味します。さらに、設備機器の機器単位のSBOM管理も義務付けられます。また、それを見込んだGAIA-Xの整備も大手企業中心に展開されていくことになります。

まだ、日本企業の中には、「PLCのIEC62443-4-2製品認証を取らなくても、お客様（工場のオーナーやシステムインテグレータ）が生産システムの上にファイヤーウォールをつければ、問題ないよ。」と勝手な考えで、セキュリティ第三者認証取得を取得しないメーカーもおります。つまり、貿易規制や各国での認定制度法規制や国際標準規格の重みや重要性を理解できずに、思考停止に陥って短絡的な考えをしている技術者も少なくないという現実です。
そのメーカーは、このままでは、EU市場の売り上げは、2023年後半以降見込めなくなって市場から消えていくことでしょう。

船舶業界では、2022年4月に、国際船級協会が2024年1月1日以降の船舶発注より、船舶の船級審査で船舶のサイバーレジリエンス審査をすることをIACS UR E26／E27で公開しております。
防衛システム、航空機、航空管制システム、港の管制システム、車両管制システム、電力送配電管制システム、半導体製造システム、物流システム、食品製造システム、醸造生産システム、など、様々な業界分野で制御システムのサイバーレジリエンス対策が要求されていくと思われます。

工場のサイバーレジリエンスを実現するには、IEC62443-4-1組織能力、IEC62443-4-2製品実装能力、IEC62443-3-3システム設計上の実装設計能力、IEC62443-2-4システムインテグレーション組織能力、IEC62443-2-1工場管理能力が必要で、そこにさらに、サイバーレジリエンスを実現するシステム設計技術が求められます。
そこで、サプライチェーンを維持するため、工場単位、物流システム単位、サプライチェーン単位で、サイバーレジリエンス強化対策が必要になっていくことが想定されます。

NIST SP800-160では、システム設計におけるサイバーレジリエンスについてまとめておりますが、具体的に制御システム構成がことなる制御システムの具体的システム設計上で求められることは、多層防御を基本とした防衛能力、自律分散能力、システム回復能力の実現能力を持って、制御システム設計をすることが重要となります。これらの実装技術やシステム設計手法は、ICS研究所のオンデマンドビデオ講座に今後追加していきます。
また、VECの活動でも、各産業別に取り上げていきます。

宜しくお願いします。

以下、11月24日に配信したICS Newsletterのコラムです。ご参考になれば幸いです。

◎制御システムのサイバーレジリエンス

サイバーレジリエンスの実現は容易ではないが、今から学んでも遅いことはない。むしろ次世代の最先端に行ける。そこで今回は、制御システムのサイバーレジリエンスが求められるまでの制御システムの構造設計の時代変化について少し振り返ってみたい。

1980年代後半、電力業界のプラント制御もコンピュータで制御システムを作る時代[DDC（ダイナミックデジタルコントローラ）]を迎え、その制御コントロールの信頼度をさらに上げるために冗長化コントローラの製品開発要求が高まった。一般産業でもPLC（プログラマブルロジックコントローラ）製品が誕生するのとほぼ同じ時期になる。
システム制御設計の研究者が次に取り組んだのが自律分散である。制御用ネットワークにつながる複数の冗長化コントローラの中に異常検出機能を搭載して異常を検知した場合、異常を検出したコントローラは他のコントローラとの協調制御ネットワークグループから一時的に離脱し、メンテナンスにより正常に戻した後に協調制御ネットワークグループに自動復旧することになる。この自動復旧時に、システム全体をリセットして再起動することは、再起動中に無制御状態になるので、プラント制御を危険にさらすことになる。そこで、その離脱してメンテナンス後正常になったコントローラを協調制御ネットワークのグループに戻す時に、システム全体を再起動することなく、自己のタイミングで他の冗長化コントローラとコミュニケーションしてつながる仕組みが開発された。それが自律分散である。この自律分散の技術特許を取得した企業がシステム制御業界全体の向上を願って特許を放棄したことは、技術を次の次元へ引き上げた。

2010年頃までの制御コントローラには、サイバー攻撃されるという概念がなかった。2000年を超えてサイバー攻撃が増えてきたが、当時の技術者は制御コントローラに関連する話ではなく、ネットワークの問題だからファイヤーウォールを取り付ければ済むと考えた。ところがこの考えを覆したのが2010年のStuxnetであった。Stuxnetは、SCADAが搭載されているサーバーに入り込み、PLCに制御コードと同じコードを送ることでメカニックにストレスを加え、メカニックを破壊するサイバー攻撃である。次に登場したのがPLC Blaster wormである。PLC Blaster wormは、PLC内部のコンフィギュレーションやレジスタを書き換えるというサイバー攻撃である。ここまでくると「制御コントローラそのものに防御機能を実装するしかない。」という考えに至る。

そうなると、制御コントローラおよび制御システムの構造設計の原理原則から見直しすることになる。そこで軍事関係で使用していた多層防御という考えを取り入れ、制御システムの多層防御システム設計、制御コントローラの多層防御構造設計ができた。この多層防御のコントローラ実装と制御システム設計手法は、制御コントローラを守り、制御対象を守る目的を果たすことができる。

次に、要求されたのがサイバーレジリエンスである。船舶や自動車やプラント制御などのサイバーレジリエンスは「制御を乗っ取られたり停止させられたりすることなく、インシデントを検知したら侵入したマルウェアを機能停止させたり孤立させて、システムを復旧させる」といったレベルが要求される。さらにその上のレベルは、「制御状態を維持しながら、侵入してきたマルウェアを取り除いて、本来の正常な制御状態に戻す」である。そこまで求められると、「制御セキュリティ＋自律分散＋制御システムセキュリティ＋制御デバイス自浄化機能」まで必要となってくる。そういう時代ですね。

付録：
＜EU Cyber resilience Act.のドキュメントの中から抜粋およびANNEX＞

The Commission is also empowered to adopt implementing acts to: specify the format or elements of the reporting obligations and of the software bill of materials; specify the European cybersecurity certification schemes that can be used to demonstrate conformity with the essential requirements or parts thereof as set out in this Regulation; adopt common specifications; lay down technical specifications for the affixing of CE marking; adopt corrective or restrictive measures at Union level in exceptional circumstances which justify an immediate intervention to preserve the good functioning of the internal market.
委員会はまた、次の実施法を採用する権限を与えられています:報告義務とソフトウェア部品表の形式または要素を指定します。この規則に規定されている必須要件またはその一部への適合性を実証するために使用できるヨーロッパのサイバーセキュリティ認証スキームを指定します。共通の仕様を採用する。CEマーキングの貼付に関する技術仕様を定める。域内市場の良好な機能を維持するための即時介入を正当化する例外的な状況において、EUレベルで是正措置または制限措置を採用する。

Products with digital elements should bear the CE marking to indicate their conformity with this Regulation so that they can move freely within the internal market. Member States should not create unjustified obstacles to the placing on the market of products with digital elements that comply with the requirements laid down in this Regulation and bear the CE marking.
デジタル要素を含む製品には、国内市場内を自由に移動できるように、この規則への準拠を示すCEマークを付ける必要があります。加盟国は、この規則に定められた要件に準拠し、CEマーキングが付いたデジタル要素を備えた製品の市場投入に不当な障害を生み出すべきではありません。

The CE marking, indicating the conformity of a product, is the visible consequence of a whole process comprising conformity assessment in a broad sense. The general principles governing the CE marking are set out in Regulation (EC) No 765/2008 of the European Parliament and of the Council18. Rules governing the affixing of the CE marking on products with digital elements should be laid down in this Regulation. The CE marking should be the only marking which guarantees that products with digital elements comply with the requirements of this Regulation.
製品の適合性を示すCEマーキングは、広義の適合性評価を含むプロセス全体の目に見える結果です。CEマーキングを管理する一般原則は、欧州議会18および理事会の規則(EC)No 765/2008に定められています。デジタル要素を含む製品へのCEマーキングの貼付を管理する規則は、この規則に定められるべきです。CEマーキングは、デジタル要素を含む製品がこの規則の要件に準拠していることを保証する唯一のマーキングである必要があります。

‘CE marking’ means a marking by which a manufacturer indicates that a product with digital elements and the processes put in place by the manufacturer are in conformity with the essential requirements set out in Annex I and other applicable Union legislation harmonizing the conditions for the marketing of products (‘Union harmonization legislation’) providing for its affixing;
「CEマーキング」とは、デジタル要素を備えた製品および製造業者が実施するプロセスが、附属書Iおよび製品のマーケティング条件を調和させるその他の適用されるEU法(「連合調和法」)に定められた必須要件に準拠していることを示すマーキングを意味します。

ANNEX I
ESSENTIAL CYBERSECURITY REQUIREMENTS
1. SECURITY REQUIREMENTS RELATING TO THE PROPERTIES OF PRODUCTS WITH DIGITAL ELEMENTS
(1) Products with digital elements shall be designed, developed and produced in such a way that they ensure an appropriate level of cybersecurity based on the risks;
(2) Products with digital elements shall be delivered without any known exploitable vulnerabilities;
(3) On the basis of the risk assessment referred to in Article 10(2) and where applicable, products with digital elements shall:
(a) be delivered with a secure by default configuration, including the possibility to reset the product to its original state;
(b) ensure protection from unauthorized access by appropriate control mechanisms, including but not limited to authentication, identity or access management systems;
(c) protect the confidentiality of stored, transmitted or otherwise processed data, personal or other, such as by encrypting relevant data at rest or in transit by state of the art mechanisms;
(d) protect the integrity of stored, transmitted or otherwise processed data, personal or other, commands, programs and configuration against any manipulation or modification not authorized by the user, as well as report on corruptions;
(e) process only data, personal or other, that are adequate, relevant and limited to what is necessary in relation to the intended use of the product (‘minimization of data’);
(f) protect the availability of essential functions, including the resilience against and mitigation of denial of service attacks;
(g) minimize their own negative impact on the availability of services provided by other devices or networks;
(h) be designed, developed and produced to limit attack surfaces, including external interfaces;
(i) be designed, developed and produced to reduce the impact of an incident using appropriate exploitation mitigation mechanisms and techniques;
(j) provide security related information by recording and/or monitoring relevant internal activity, including the access to or modification of data, services or functions;
(k) ensure that vulnerabilities can be addressed through security updates, including, where applicable, through automatic updates and the notification of available updates to users.
1.デジタル要素を含む製品の特性に関するセキュリティ要件
(1)デジタル要素を備えた製品は、リスクに基づいて適切なレベルのサイバーセキュリティを確保するように設計、開発、製造されるものとします。
(2)デジタル要素を含む製品は、既知の悪用可能な脆弱性なしで提供されるものとします。
(3)第10条(2)で言及されているリスク評価に基づいて、該当する場合、デジタル要素を備えた製品は次のことを行うものとします。
(a)製品を元の状態にリセットする可能性を含む、デフォルトで安全な構成で提供されること。
(b)認証、IDまたはアクセス管理システムを含むがこれらに限定されない適切な制御メカニズムによる不正アクセスからの保護を確保する。
(c)保存、送信、またはその他の方法で処理されたデータの機密性を保護する(たとえば、最先端のメカニズムによって保存中または転送中の関連データを暗号化するなど)。
(d)保存、送信、またはその他の方法で処理されたデータ、個人データまたはその他のコマンド、プログラム、および構成の完全性を、ユーザーが許可していない操作または変更から保護し、破損を報告する。
(e)個人データまたはその他のデータのうち、適切で関連性があり、製品の意図された使用に関連して必要なものに限定されたデータのみを処理する(「データの最小化」)。
(f)サービス拒否攻撃に対する回復力および軽減を含む重要な機能の利用可能性を保護する。
(g)他のデバイスまたはネットワークによって提供されるサービスの可用性に対する彼ら自身の悪影響を最小限に抑える。
(h)外部インターフェースを含む攻撃対象領域を制限するように設計、開発、および製造されていること。
(i)適切な搾取緩和メカニズムと技術を使用してインシデントの影響を軽減するように設計、開発、および製造されていること。
(j)データ、サービス、または機能へのアクセスまたは変更を含む、関連する内部活動を記録および/または監視することにより、セキュリティ関連情報を提供する。
(k) 該当する場合は、自動更新や利用可能な更新のユーザーへの通知など、セキュリティ更新プログラムを通じて脆弱性に対処できるようにする。

2. VULNERABILITY HANDLING REQUIREMENTS
Manufacturers of the products with digital elements shall:
(1) identify and document vulnerabilities and components contained in the product, including by drawing up a software bill of materials in a commonly used and machine-readable format covering at the very least the top-level dependencies of the product;
(2) in relation to the risks posed to the products with digital elements, address and remediate vulnerabilities without delay, including by providing security updates;
(3) apply effective and regular tests and reviews of the security of the product with digital elements;
(4) once a security update has been made available, publicly disclose information about fixed vulnerabilities, including a description of the vulnerabilities, information allowing users to identify the product with digital elements affected, the impacts of the vulnerabilities, their severity and information helping users to remediate the vulnerabilities;
(5) put in place and enforce a policy on coordinated vulnerability disclosure;
(6) take measures to facilitate the sharing of information about potential vulnerabilities in their product with digital elements as well as in third party components contained in that product, including by providing a contact address for the reporting of the vulnerabilities discovered in the product with digital elements;
(7) provide for mechanisms to securely distribute updates for products with digital elements to ensure that exploitable vulnerabilities are fixed or mitigated in a timely manner;
(8) ensure that, where security patches or updates are available to address identified security issues, they are disseminated without delay and free of charge, accompanied by advisory messages providing users with the relevant information, including on potential action to be taken.
2. 脆弱性処理要件
デジタル要素を備えた製品の製造業者は、次のことを行うものとします。
(1)製品に含まれる脆弱性とコンポーネントを特定して文書化する(少なくとも製品のトップレベルの依存関係をカバーする、一般的に使用され機械で読み取り可能な形式でソフトウェア部品表を作成することを含む)。
(2)デジタル要素を持つ製品にもたらされるリスクに関連して、セキュリティアップデートの提供を含め、遅滞なく脆弱性に対処および修正する。
(3)デジタル要素を使用した製品のセキュリティの効果的かつ定期的なテストとレビューを適用します。
(4)セキュリティアップデートが利用可能になったら、脆弱性の説明、影響を受けるデジタル要素で製品を識別できる情報、脆弱性の影響、その深刻度、およびユーザーが脆弱性を修正するのに役立つ情報など、修正された脆弱性に関する情報を公開します。
(5)協調的な脆弱性の開示に関するポリシーを策定し、実施する。
(6)デジタル要素を含む製品および製品に含まれるサードパーティのコンポーネントを含む製品の潜在的な脆弱性に関する情報の共有を促進するための措置を講じること(デジタル要素を含む製品で発見された脆弱性の報告のための連絡先を提供するなど)。
(7)悪用可能な脆弱性がタイムリーに修正または軽減されるように、デジタル要素を備えた製品のアップデートを安全に配布するメカニズムを提供する。
(8)特定されたセキュリティ問題に対処するためのセキュリティパッチまたはアップデートが利用可能な場合、それらが遅滞なく無料で配布され、取るべき潜在的な行動を含む関連情報をユーザーに提供するアドバイザリーメッセージが添付されるようにします。

ANNEX II
INFORMATION AND INSTRUCTIONS TO THE USER
As a minimum, the product with digital elements shall be accompanied by:
1. the name, registered trade name or registered trade mark of the manufacturer, and the postal address and the email address at which the manufacturer can be contacted, on the product or, where that is not possible, on its packaging or in a document accompanying the product;
2. the point of contact where information about cybersecurity vulnerabilities of the product can be reported and received;
3. the correct identification of the type, batch, version or serial number or other element allowing the identification of the product and the corresponding instructions and user information;
4. the intended use, including the security environment provided by the manufacturer, as well as the product’s essential functionalities and information about the security properties;
5. any known or foreseeable circumstance, related to the use of the product with digital elements in accordance with its intended purpose or under conditions of reasonably foreseeable misuse, which may lead to significant cybersecurity risks;
6. if and, where applicable, where the software bill of materials can be accessed;
7. where applicable, the internet address at which the EU declaration of conformity can be accessed;
8. the type of technical security support offered by the manufacturer and until when it will be provided, at the very least until when users can expect to receive security updates;
9. detailed instructions or an internet address referring to such detailed instructions and information on:
(a) the necessary measures during initial commissioning and throughout the lifetime of the product to ensure its secure use;
(b) how changes to the product can affect the security of data;
(c) how security-relevant updates can be installed;
(d) the secure decommissioning of the product, including information on how user data can be securely removed.
附属書 II
ユーザーへの情報と指示
少なくとも、デジタル要素を備えた製品には、次のものが必要です。
1.製造業者の名称、登録商標または登録商標、および製造業者に連絡できる住所および電子メールアドレス、製品、またはそれが不可能な場合は、パッケージまたは製品に付属する文書。
2.製品のサイバーセキュリティの脆弱性に関する情報を報告および受信できる連絡先。
3.タイプ、バッチ、バージョン、シリアル番号、または製品の識別を可能にするその他の要素、および対応する指示とユーザー情報の正しい識別。
4.製造元が提供するセキュリティ環境、製品の本質的な機能、およびセキュリティプロパティに関する情報を含む、使用目的。
5.意図された目的に従って、または合理的に予見可能な誤用の条件下でのデジタル要素を使用した製品の使用に関連する、重大なサイバーセキュリティリスクにつながる可能性のある既知または予見可能な状況。
6. ソフトウェア部品表にアクセスできる場合、および該当する場合。
7.該当する場合、EU適合宣言にアクセスできるインターネットアドレス。
8.製造元が提供する技術的なセキュリティサポートの種類と、それが提供される時期まで、少なくともユーザーがセキュリティ更新プログラムを受け取ることを期待できる時点まで。
9.詳細な手順またはそのような詳細な手順および情報を参照するインターネットアドレス:
(a)製品の安全な使用を確保するために、最初の試運転中および製品の寿命全体を通じて必要な措置。
(b)製品への変更がデータのセキュリティにどのように影響するか。
(c) セキュリティ関連の更新プログラムをインストールする方法。
(d)ユーザーデータを安全に削除する方法に関する情報を含む、製品の安全な廃止。

ANNEX III
CRITICAL PRODUCTS WITH DIGITAL ELEMENTS
Class I
1. Identity management systems software and privileged access management software;
2. Standalone and embedded browsers;
3. Password managers;
4. Software that searches for, removes, or quarantines malicious software;
5. Products with digital elements with the function of virtual private network (VPN);
6. Network management systems;
7. Network configuration management tools;
8. Network traffic monitoring systems;
9. Management of network resources;
10. Security information and event management (SIEM) systems;
11. Update/patch management, including boot managers;
12. Application configuration management systems;
13. Remote access/sharing software;
14. Mobile device management software;
15. Physical network interfaces;
16. Operating systems not covered by class II;
17. Firewalls, intrusion detection and/or prevention systems not covered by class II;
18. Routers, modems intended for the connection to the internet, and switches, not covered by class II;
19. Microprocessors not covered by class II;
20. Microcontrollers;
21. Application specific integrated circuits (ASIC) and field-programmable gate arrays (FPGA) intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)];
22. Industrial Automation & Control Systems (IACS) not covered by class II, such as programmable logic controllers (PLC), distributed control systems (DCS), computerized numeric controllers for machine tools (CNC) and supervisory control and data acquisition systems (SCADA);
23. Industrial Internet of Things not covered by class II.
附属書III
デジタル要素を備えた重要な製品
クラス I
1. ID管理システムソフトウェアおよび特権アクセス管理ソフトウェア。
2.スタンドアロンおよび組み込みブラウザ。
3.パスワードマネージャー。
4. 悪意のあるソフトウェアを検索、削除、または検疫するソフトウェア。
5.仮想プライベートネットワーク(VPN)の機能を備えたデジタル要素を備えた製品。
6.ネットワーク管理システム。
7.ネットワーク構成管理ツール。
8.ネットワークトラフィック監視システム。
9.ネットワークリソースの管理
10.セキュリティ情報およびイベント管理(SIEM)システム。
11.ブートマネージャを含むアップデート/パッチ管理。
12.アプリケーション構成管理システム。
13.リモートアクセス/共有ソフトウェア。
14.モバイルデバイス管理ソフトウェア。
15.物理ネットワークインターフェイス。
16.クラスIIの対象外のオペレーティングシステム。
17.クラスIIの対象外のファイヤーウォール、侵入検知および/または防止システム。
18.クラスIIの対象外のルーター、インターネットへの接続を目的としたモデム、およびスイッチ。
19.クラスIIの対象外のマイクロプロセッサ。
20.マイクロコントローラ;
21.[指令XXX/XXXX(NIS2)の附属書I]で言及されているタイプの必須エンティティによる使用を目的とした特定用途向け集積回路(ASIC)およびフィールドプログラマブルゲートアレイ(FPGA)。
22.プログラマブルロジックコントローラ(PLC)、分散制御システム(DCS)、工作機械用コンピュータ数値コントローラ(CNC)、監視制御およびデータ収集システム(SCADA)など、クラスIIの対象外の産業用オートメーションおよび制御システム(IACS)。
23.クラスIIの対象外の産業用モノのインターネット。

Class II
1. Operating systems for servers, desktops, and mobile devices;
2. Hypervisors and container runtime systems that support virtualized execution of operating systems and similar environments;
3. Public key infrastructure and digital certificate issuers;
4. Firewalls, intrusion detection and/or prevention systems intended for industrial use;
5. General purpose microprocessors;
6. Microprocessors intended for integration in programmable logic controllers and secure elements;
7. Routers, modems intended for the connection to the internet, and switches, intended for industrial use;
8. Secure elements;
9. Hardware Security Modules (HSMs);
10. Secure crypto processors;
11. Smartcards, smartcard readers and tokens;
12. Industrial Automation & Control Systems (IACS) intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)], such as programmable logic controllers (PLC), distributed control systems (DCS), computerized numeric controllers for machine tools (CNC) and supervisory control and data acquisition systems (SCADA);
13. Industrial Internet of Things devices intended for the use by essential entities of the type referred to in [Annex I to the Directive XXX/XXXX (NIS2)];
14. Robot sensing and actuator components and robot controllers;
15. Smart meters.
クラス II
1.サーバー、デスクトップ、およびモバイルデバイス用のオペレーティングシステム。
2.オペレーティングシステムおよび同様の環境の仮想化実行をサポートするハイパーバイザーおよびコンテナランタイムシステム。
3.公開鍵インフラストラクチャとデジタル証明書発行者。
4.産業用のファイヤーウォール、侵入検知および/または防止システム。
5.汎用マイクロプロセッサ。
6.プログラマブルロジックコントローラおよびセキュアエレメントへの統合を目的としたマイクロプロセッサ。
7.ルーター、インターネットへの接続を目的としたモデム、および産業用のスイッチ。
8.安全な要素。
9.ハードウェアセキュリティモジュール(HSM);
10.安全な暗号プロセッサ。
11.スマートカード、スマートカードリーダー、トークン。
12. プログラマブルロジックコントローラ(PLC)、分散制御システム(DCS)、工作機械用コンピュータ数値コントローラ(CNC)、監視制御およびデータ収集システム(SCADA)など、[指令XXX/XXXX(NIS2)の付属書I]で言及されているタイプの必須エンティティによる使用を目的とした産業用オートメーションおよび制御システム(IACS)。
13.[指令XXX/XXXX(NIS2)の附属書I]で言及されているタイプの必須エンティティによる使用を目的とした産業用モノのインターネットデバイス。
14.ロボットセンシングおよびアクチュエータコンポーネントおよびロボットコントローラ。
15.スマートメーター。

＜米国議会のUSCC Report 2022＞
28. Congress pass legislation codifying the concept of “systemically important critical infrastructure” (SICI) and requiring SICI-designated entities, defense contractors, and recipients of federal funding for research and development of sensitive and emerging technologies to undertake enhanced hardening and mitigation efforts against cyberattacks. These efforts shall follow cybersecurity standards and guidance as determined by the U.S. Department of Defense and Cybersecurity and Infrastructure Security Agency. Congress should provide appropriate legal liability “safe harbor” provisions to compliant SICI operators and appropriate support as necessary for SICI-designated small and medium-sized companies to address the cost of compliance.
Such legislation would also require that cybersecurity risk mitigation plans be a condition for the Small Business Administration (SBA) to award grants such as those under the Small Business Innovation Research (SBIR) and Small Business Technology Transfer (STTR) programs. As part of the regular audit process, SBA and any relevant agencies should ensure implementation of these plans and require certification of compliance.
28.議会は、「システム的に重要な重要インフラストラクチャ」(SICI)の概念を成文化し、SICIが指定したエンティティ、防衛請負業者、および機密性の高い新興技術の研究開発のための連邦資金の受領者に、サイバー攻撃に対する強化された強化と緩和の取り組みを実施することを要求する法律を可決しました。これらの取り組みは、米国が決定したサイバーセキュリティ基準および国防総省およびサイバーセキュリティおよびインフラストラクチャ・セキュリティエージェンシーガイダンスに従うものとします。議会は、準拠したSICI事業者に適切な法的責任の「セーフハーバー」条項を提供し、SICI指定の中小企業がコンプライアンスのコストに対処するために必要に応じて適切な支援を提供する必要があります。
このような法律はまた、サイバーセキュリティリスク低減計画が、中小企業庁(SBA)が中小企業イノベーション研究(SBIR)や中小企業技術移転(STTR)プログラムに基づく助成金などの助成金を授与するための条件となることを要求します。定期的な監査プロセスの一環として、SBAおよび関連機関は、これらの計画の実施を確実にし、コンプライアンスの認証を要求する必要があります。

＜NIST SP800-160 Developing Cyber-Resilient Systems＞
Abstract
NIST Special Publication (SP) 800-160, Volume 2, focuses on cyber resiliency engineering—an emerging specialty systems engineering discipline applied in conjunction with systems security engineering and resilience engineering to develop survivable, trustworthy secure systems. Cyber resiliency engineering intends to architect, design, develop, implement, maintain, and sustain the trustworthiness of systems with the capability to anticipate, withstand, recover from, and adapt to adverse conditions, stresses, attacks, or compromises that use or are enabled by cyber resources. From a risk management perspective, cyber resiliency is intended to help reduce the mission, business, organizational, enterprise, or sector risk of depending on cyber resources.
NIST Special Publication (SP) 800-160、Volume 2 は、サイバー レジリエンシー エンジニアリング (システム セキュリティ エンジニアリングおよびレジリエンス エンジニアリングと組み合わせて適用され、存続可能で信頼できる安全なシステムを開発する新しい専門システム エンジニアリング分野) に焦点を当てています。サイバーレジリエンスエンジニアリングは、サイバーリソースを使用または可能にする悪条件、ストレス、攻撃、または侵害を予測、耐え、回復、および適応する能力を備えたシステムの信頼性を設計、設計、開発、実装、維持、および維持することを目的としています。リスク管理の観点から見ると、サイバーレジリエンスは、サイバーリソースに依存するミッション、ビジネス、組織、企業、またはセクターのリスクを軽減することを目的としています。

This publication can be used in conjunction with ISO/IEC/IEEE 15288:2015, Systems and software engineering—Systems life cycle processes; NIST Special Publication (SP) 800-160, Volume 1, Systems Security Engineering—Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems; NIST SP 800-37, Risk Management Framework for Information Systems and Organizations—A System Life Cycle Approach for Security and Privacy; and NIST SP 800-53, Security and Privacy Controls for Information Systems and Organizations. It can be viewed as a handbook for achieving the identified cyber resiliency outcomes based on a system engineering perspective on system life cycle and risk management processes, allowing the experience and expertise of the implementing organization to help determine how the content will be used for its purpose. Organizations can select, adapt, and use some or all of the cyber resiliency constructs (i.e., goals, objectives, techniques, approaches, and design principles) described in this publication and apply the constructs to the technical, operational, and threat environments for which systems need to be engineered.
この出版物は、ISO/IEC/IEEE 15288:2015、システムおよびソフトウェアエンジニアリング—システムライフサイクルプロセスと組み合わせて使用できます。NIST特別出版物(SP)800-160、第1巻、システムセキュリティエンジニアリング—信頼できる安全なシステムのエンジニアリングにおける学際的なアプローチの考慮事項。NIST SP 800-37、情報システムと組織のリスク管理フレームワーク—セキュリティとプライバシーのためのシステムライフサイクルアプローチ。NIST SP 800-53、情報システムおよび組織のセキュリティおよびプライバシー制御。これは、システムライフサイクルとリスク管理プロセスに関するシステムエンジニアリングの観点から特定されたサイバーレジリエンシーの結果を達成するためのハンドブックと見なすことができ、実装組織の経験と専門知識が、コンテンツがその目的でどのように使用されるかを決定するのに役立ちます。組織は、このドキュメントで説明されているサイバーレジリエンスコンストラクト(つまり、目標、目的、手法、アプローチ、および設計原則)の一部またはすべてを選択、適応、および使用し、システムを設計する必要がある技術的、運用的、および脅威な環境にコンストラクトを適用できます。